简介:这是一个很大的CTI世界
网络威胁情报的宇宙是广阔的。乐动体育下载链接可用来源的数量已经很大,似乎每天都在增加。许多个人和公司都将大量的知识和技术投入到该领域,以帮助产生旨在使防御者生活更轻松的产出。当然,甚至比威胁智能宇宙更大的是通过各种处理将智能变成智能的数据。所有这些广阔的事物可能有点令人生畏,甚至经验丰富的分析师和经理都努力确定哪些来源和产品最有价值。
问题是,大多数威胁智能,甚至更多的关于潜在威胁的原始数据与您的组织无直接相关。英特尔威胁世界比触及您受保护环境的部分要大得多。在演讲中,我以这种方式描述:
Venn图中的几乎没有重叠代表了来自外部威胁的数据与环境中观察到的数据重叠。当然,重叠的大小会有所不同,因此这纯粹是概念上的,但是一个数据点来自一家非常大的金融服务公司,其CISO估计重叠约为3%。乐动体育官网下载
但是还有一个更有害的问题:有一些威胁与您相关,但不是您所消耗的Intel威胁的一部分。在下一版本的图中,由虚线界定的区域表示您的威胁应该关心,但是您在英特尔供稿中找不到。
这并不是对英特尔饲料的威胁。这并不意味着他们很糟糕;这只是意味着他们不是通灵的。这些提要大多数取决于野外坏事的观察。如果未观察并报告(或研究人员发现),则不在饲料中。这些无证件威胁是新的或高度定位的运动。它们可能会造成损害,同时几乎每个人都看不见。
如果绝大多数威胁英特尔数据在任何给定时间都与您的组织无关,那么您如何捕获什么相关?这是内部生成的威胁情报如此有价值的地方:它从100%相关的地方开始;也就是说,您自己的网络流量。该博客是关于如何根据DNS相关的网络可观察物来制定特定物种威胁智能的要求。
当我们谈论智力时我们谈论什么
这是解决“法律”的问题,威胁数据并不等于威胁情报。因此,在制定情报要求的过程中,您要寻找的是可以使您了解威胁性质和程度的信息,并且可以实现分析,从而可以带来更多的见解和更好的情境意识。反过来,所有这些的目的是帮助您就如何最好地捍卫环境做出良好的决定。如果您的要求尚未清楚所需的智能如何为特定的操作提供信息,那么这些要求尚未完成。
当我们谈论“基于DNS”时,我们谈论的是什么
对于我们在此处查看的特定智能,我们将使用的原始数据与DNS有关。具体来说,当您对这些类型的数据进行分析时,您可以学习很多:
- 域(包括子域)
- IP地址
- 名称服务器
- MX记录
当然,DNS比这四个对象要多得多。有关DNS和DNS-ADJACACECT数据的财富的详尽讨论,请参阅这个出色的博客系列凯尔西·贝拉尔(Kelsey Labelle)。但是,这四个构建块几乎可以在任何组织的网络流量中获得,并且将您的数据转换为智能的许多其他有价值的DNS数据点不会直接来自您的网络,而是来自丰富您在您的上观察到的数据的资源网络。
因此,如果您需要域,IP地址,名称服务器和MX记录与受保护的网络流量有关,那么您的来源将是什么?让我们考虑一些可能性:
- 防火墙/IP
- 网络和SMTP代理
- 路由器
- 端点
- SMTP服务器
- DNS解析器
并非所有这些来源都能为您提供所需的记录类型。例如,路由器将在其日志中显示IP地址,但没有其他任何数据类型。一些防火墙将为某些协议提供域名,但对于许多其他协议,它们也主要提供IP地址。Web代理通常将提供域名,因为它们正在处理特定要求通过包含域名的字符串(URL)请求资源的流量。SMTP代理和服务器同样记录域名,因为该域被烘烤到协议的标题中。但是,如果您只需要选择其中一种来源,DNS解析器将位于顶部,因为在受保护的环境中的任何内容都与之交谈以外的任何事物(包括威胁性操作器控制的资产),它询问DNS服务器如何找到它。(是的,在某些例外,流量直接进入硬编码的IP地址;但是这些案例不太常见)。所以您当地的解析器是原材料的丰富来源您需要制定良好的威胁情报。
DNS数据如何成为情报?
您从任何网络可观察物中收集的数据都像金矿石:这是必要的,但是直到您进行了一些处理之前,它才真正发光。所以您需要使用为此目的设计的工具和其他数据集对基于DNS的数据进行丰富和分析。丰富的一个例子是收集域的当前WHOIS记录或风险评分;另一个示例将是IP地址的所谓“反向DNS”信息(以了解其上托管了哪些其他域)。有时,原始数据点以及其丰富的数据提供了足够的上下文,可以将其视为智能的指标;在其他时候,将需要一些其他调查才能真正使角落成为有用的智能。从始终使用的观点大卫·比安科(David Bianco)的痛苦金字塔,这种富集相对轻巧,但可以在对手分析中付出真正的红利,尤其是与逆转可疑二进制的资源密集型活动相比。(并不是说后者有什么问题;它往往很耗时。)
要结晶您的情报要求,请问自己如何:
- 评估您环境中受保护主机联系的东西的基本性质
- 确定[域| ip |邮件服务器]是否是更大威胁的一部分
- 获得有用的数据来检测和保护这种更大的威胁(以及复古狩猎在现有日志中)
你也想弄清楚您的情报产品应该是什么样的。您的组织将在报告威胁活动的情况下(可能是外部)要求。您需要设计与DNS相关的威胁智能收集和处理,以生成可以轻松流入您需要提供的任何报告产品的输出。这可能很简单,就像将高信心指示器倾倒到电子表格中,或者在其上产生带有指标的.pdf文档。它也可能涉及信息共享,例如与ISAC共享;也许您的商店使用Stix/Taxii用于这种分享。如果是这样,您将需要在Stix文档中输出关键指标的脚本。
信号:噪声考虑因素
您的基于DNS的数据源肯定会有很多噪音,因此您的一部分要求可能需要设计方法来减少某些噪音。让我们将DNS解析器作为来源。大型网络上的DNS解析器将处理大量的请求和答复。但是,当您为威胁智能系统(SIEM,提示等)创建日志数据的管道时,一些预处理可以帮助您缩小范围。
- 考虑交叉检查域名与Alexa顶级站点,并丢弃该列表中发现的任何域
- 如果该卷仍然太高而无法管理,请考虑过滤出来不是来自“ Crown Jewels”网络或单个主机的请求
- 考虑通过TLD进行过滤:虽然.com和.net TLD中确实存在许多危险域,但您仍然可以通过查看某些已知的TLD来捕获很多粗略的领域,例如.xyz和.tk(实际上,您可以简单地为.com和.net制作一个排除过滤器,并保留其余的所有)
- DNS分析的常见用例是检测隧道。有一些正则表达式可用于检测异常的查询字符串;参考这是没有纸更多细节。
您的其他来源也可以从一些相同的预过滤中受益,尽管其中大多数将比您的DNS解析器低。例如,如果您有一个对URL进行分类的Web代理,请考虑仅丰富那些返回“未分类”的域。
结论:您坐在金矿上;不要得到轴!
您的环境会产生大量基于DNS的数据,这些数据可能是法医黄金,但是直到您在处理和丰富数据的过程中制定和执行之前,这只是矿石。精心制作的情报要求就像制定计划并设计用于采矿和提取黄金的设备,并将其铸成铸币或硬币。这似乎令人生畏,但是许多熟悉的SOC工具都具有为您提供帮助的功能。您不必(也可能不应该)重新发明端到端流程。一旦您拥有基于环境中网络可观察到的真正智能的自动化流程,就可以减少被各种威胁所咬伤的机会。